TCP-RAW не является самостоятельным VPN-протоколом. Под таким названием встречаются как минимум два разных механизма. В Xray слово RAW обозначает транспортный уровень, через который прокси-протокол передает данные без обертки WebSocket, gRPC или XHTTP. В проекте udp2raw слово raw связано с raw socket: утилита берет UDP-поток и отправляет его в пакетах FakeTCP, UDP или ICMP.
Связь с VPN появляется потому, что оба механизма используют в приложениях, которые пользователь воспринимает как VPN-клиенты. Связка VLESS + RAW + REALITY может работать через TUN-режим и направлять через прокси весь трафик устройства. Связка WireGuard + udp2raw сохраняет VPN-туннель WireGuard, но добавляет внешнюю упаковку для его UDP-пакетов. Одинаковое слово RAW не делает такие схемы одинаковыми.
RAW в Xray: не «сырой TCP», а способ переноса потока
В актуальной документации Xray RAW описан как бывший транспорт TCP, переименованный из-за неоднозначного названия. Старое имя легко принять за указание на один сетевой протокол, хотя транспортный слой Xray решает другую задачу: переносит данные, которые сформировали прокси-протоколы. Документация прямо указывает, что исходящий RAW передает сгенерированные обертками данные TCP и UDP напрямую, без другого транспортного слоя вроде XHTTP.
Здесь есть тонкость, которую легко пропустить. RAW не привязан только к VLESS. Xray позволяет комбинировать транспорт с разными протоколами, а VLESS просто часто встречается в современных профилях вместе с REALITY и XTLS Vision. Поэтому строка «VLESS + TCP/RAW + REALITY» описывает конкретный стек соединения, а не расшифровку слова RAW.
| Что видно в профиле | Какую задачу решает | Пример значения |
|---|---|---|
| Режим клиента | Забирает трафик приложений или всей системы | TUN, системный прокси |
| Прокси-протокол | Описывает обмен клиента с сервером | VLESS, Trojan, VMess |
| Транспорт | Переносит поток через сеть | RAW, XHTTP, mKCP, gRPC, WebSocket, HTTPUpgrade, Hysteria |
| Защита транспорта | Защищает и оформляет внешнее соединение | TLS, REALITY |
| Flow control | Меняет обработку потока внутри поддерживаемой связки | XTLS Vision |
Таблица объясняет главную ошибку при чтении интерфейса клиента. RAW не отвечает за шифрование сам по себе. В настройках транспорта Xray защита задается отдельным полем: none, TLS или REALITY. Пользователь, который увидел только TCP/RAW и решил, что получил защищенный туннель, проверил не тот параметр.
REALITY часто стоит рядом с RAW, но относится к защите транспорта, а не к способу передачи. В текущей документации Xray REALITY совместим с RAW, XHTTP и gRPC. XTLS Vision тоже не является транспортом и не заменяет шифрование: в конфигурации VLESS это режим управления потоком, рассчитанный на определенные сочетания TCP с TLS или REALITY.
Разработчики REALITY отдельно указывают, что связки с протоколами, создающими заметный TLS-in-TLS-профиль, могут иметь характерные признаки трафика. Отсюда и популярность конфигурации VLESS + RAW + REALITY + Vision: компоненты подбирают не потому, что RAW «невидим», а потому что стек рассчитан на совместную работу. Даже такой профиль не дает гарантии доступности в любой сети и не превращает пользователя в анонима.
Другой RAW: зачем udp2raw упаковывает UDP в FakeTCP
В udp2raw термин RAW означает уже не транспорт Xray, а работу через raw socket. Утилита принимает произвольный UDP-трафик и передает его как FakeTCP, UDP или ICMP. Авторы проекта описывают сценарий прямо: такая оболочка нужна в сетях, где UDP блокируется, нестабилен, плохо проходит через NAT или попадает под ограничения качества обслуживания.
WireGuard появляется здесь как распространенный пример, а не как обязательная часть udp2raw. WireGuard передает туннельный трафик по UDP, поэтому его можно направить через udp2raw. Точно так же оболочка применима к другому UDP-приложению или VPN-протоколу, если обе стороны схемы настроены соответствующим образом.
| Схема | Что остается внутри | Что меняется снаружи |
|---|---|---|
| VLESS + RAW + REALITY | Прокси-соединение Xray | Транспорт RAW и защита REALITY |
| WireGuard + udp2raw FakeTCP | UDP-туннель WireGuard | Внешние пакеты, похожие на TCP |
У udp2raw есть собственные функции шифрования и защиты от повторной передачи пакетов. Такие функции относятся к внешней оболочке udp2raw. Они не заменяют криптографию WireGuard и не превращают FakeTCP в новый VPN-протокол. При связке с WireGuard содержимое VPN-туннеля по-прежнему защищает WireGuard, а udp2raw решает задачу доставки внешнего UDP-потока.
Название FakeTCP тоже не следует понимать буквально. Утилита не переносит WireGuard через полноценный TCP-сеанс приложения, а формирует пакеты с TCP-подобным поведением на внешнем уровне. Такой подход способен помочь в отдельных сетях с проблемным UDP, но у него есть цена: схема усложняется, требует отдельной настройки на клиенте и сервере, а сетевой анализ может выявлять характерное поведение оболочки. Утверждение, будто FakeTCP гарантированно делает туннель нераспознаваемым, не выдерживает проверки.
Как проверить, что именно включено в клиенте
Разобраться по одному пункту «TCP-RAW» нельзя. В разных приложениях одинаковая надпись может обозначать разные уровни соединения. Надежнее открыть параметры профиля и последовательно проверить четыре вещи:
- какой основной протокол указан в профиле: VLESS, Trojan, VMess, WireGuard или другой;
- какой транспорт выбран: RAW, XHTTP, WebSocket, gRPC, mKCP, Hysteria либо внешняя утилита FakeTCP;
- какой механизм защиты включен: REALITY, TLS, шифрование самого VPN-протокола или отсутствие отдельной транспортной защиты;
- как клиент забирает трафик устройства: через TUN-режим, системный прокси или только отдельное приложение.
Если в профиле видны VLESS, network = raw, security = reality и flow = xtls-rprx-vision, перед вами стек Xray. RAW здесь является транспортом, REALITY отвечает за защиту транспорта, Vision управляет потоком. Если приложение показывает WireGuard рядом с udp2raw или FakeTCP, речь идет о VPN-туннеле по UDP с дополнительной внешней оболочкой.
Не стоит выбирать RAW только по обещанию большей скорости. Прямой транспорт Xray обходится без HTTP-совместимой обертки и может давать меньшие накладные расходы в подходящей схеме. Но RAW хуже подходит для инфраструктуры, где требуется HTTP-маршрутизация, обратный прокси или совместимость с определенным промежуточным узлом. XHTTP, WebSocket и другие транспорты существуют не как «медленные альтернативы», а как решения для других сетевых условий.
Материал предназначен для легальной настройки собственных соединений и защиты трафика. В России и других странах учитывайте действующие законы и правила сервисов. Не применяйте сетевые инструменты для несанкционированного доступа, слежки, взлома или незаконного обхода ограничений.
Вопросы и ответы
TCP-RAW является отдельным VPN-протоколом?
Нет. В Xray RAW является транспортом для потока прокси-протокола. В udp2raw RAW связано с формированием внешних пакетов через raw socket. VPN-протоколом в такой схеме может оставаться WireGuard или другой отдельный механизм.
RAW в Xray передает только TCP?
Нет. Актуальная документация Xray прямо говорит о прямой передаче данных TCP и UDP, сформированных обертками прокси-протоколов. Путаница возникла потому, что до переименования транспорт назывался TCP.
VLESS + RAW + REALITY можно называть VPN?
Технически VLESS относится к прокси-протоколам. При включенном TUN-режиме клиент способен направить через такой стек почти весь трафик устройства, поэтому для пользователя работа похожа на VPN. Внутри остается прокси-схема Xray.
FakeTCP делает WireGuard невидимым для анализа трафика?
Нет. FakeTCP меняет внешнюю упаковку UDP-потока и может помочь в отдельных сетях с проблемным UDP. Гарантии нераспознаваемости такая оболочка не дает, а сложность настройки и дополнительные признаки трафика сохраняются.
TCP-RAW нужно читать в контексте конкретного профиля. В Xray RAW означает прямой транспорт для данных прокси-протокола и может работать вместе с TLS или REALITY. В udp2raw raw socket нужен для внешней упаковки произвольного UDP-потока, в том числе WireGuard. Перед выбором режима проверьте весь стек: основной протокол, транспорт, защиту соединения и способ перехвата трафика. Только такая проверка показывает, что именно клиент защищает, где добавляет совместимость, а где маркетинговое название обещает больше, чем дает технология.
